– Open Zeppelin, kibernetinio saugumo įmonė, teikianti įrankius decentralizuotoms programoms (dApps) kurti ir apsaugoti.
– Bendrovė atskleidė, kad didžiausia grėsmė „dApps“ yra ne „blockchain“ technologija, o blogi įsilaužėlių ketinimai visame pasaulyje.
„Blockchain“ įsilaužimas tapo problema ir kelia grėsmę kriptovaliutų ekosistemai. Įsilaužėliai gali pažeisti blokų grandinės saugumą, kad pavogtų kriptovaliutą ir skaitmeninį turtą. Štai kodėl įmonės ieško naujoviškų būdų, kaip apsaugoti savo sistemas nuo kibernetinių atakų. „Open Zeppelin“ paskelbė ataskaitą, kurioje apibendrina dešimt geriausių „blockchain“ įsilaužimo metodų.
Kaip įsilaužėliai kelia grėsmę „Blockchain“ saugumui?
51% atakų
Ši ataka įvyksta, kai įsilaužėlis įgyja bent 51% ar daugiau skaičiavimo galios blokų grandinės tinkle. Tai suteiks jiems galią valdyti tinklo konsensuso algoritmą ir manipuliuoti sandoriais. Tai sukels dvigubas išlaidas, kai įsilaužėlis gali pakartoti tą pačią operaciją. Pavyzdžiui, Binance yra pagrindinis investuotojas į memecoin Dogecoin ir stablecoin Zilliqa ir gali lengvai manipuliuoti kriptovaliutų rinka.
Pažangios sutarties rizikos
Išmaniosios sutartys yra savaime vykdomos programos, sukurtos remiantis pagrindine „blockchain“ technologija. Piratai gali įsilaužti į išmaniųjų sutarčių kodą ir jais manipuliuoti, kad pavogtų informaciją, lėšas arba skaitmeninį turtą.
Sybil atakos
Tokia ataka įvyksta, kai įsilaužėlis blokų grandinės tinkle sukuria kelias netikras tapatybes arba mazgus. Tai leidžia jiems valdyti didžiąją tinklo skaičiavimo galios dalį. Jie gali manipuliuoti sandoriais tinkle, kad padėtų finansuoti terorizmą ar kitą neteisėtą veiklą.
Kenkėjiškų programų atakos
Įsilaužėliai gali įdiegti kenkėjiškas programas, kad gautų prieigą prie vartotojo šifravimo raktų arba privačios informacijos, kad galėtų pavogti iš piniginių. Piratai gali apgauti vartotojus atskleisti savo privačius raktus, kurie gali būti naudojami neteisėtai prieigai prie jų skaitmeninio turto.
Kokie yra 10 geriausių „Open Zeppelin“ blokų grandinės įsilaužimo metodų?
Sudėtinė TUSD integracijos problema retrospektyva
Compound yra decentralizuotas finansų protokolas, padedantis vartotojams užsidirbti palūkanas už savo skaitmeninį turtą skolinantis ir skolindamas juos Ethereum blokų grandinėje. TrueUSD yra stabili moneta, susieta su USD. Viena iš pagrindinių integracijos su TUSD problemų buvo susijusi su turto perleidimu.
Norint naudoti TUSD junginyje, jis turėjo būti perkeliamas iš vieno Ethereum adreso į kitą. Tačiau TUSD išmaniojoje sutartyje buvo rasta klaida, o kai kurie pervedimai buvo užblokuoti arba vėluoti. Tai reiškė, kad klientai negalėjo atsiimti ar įmokėti TUSD iš junginio. Dėl to kilo likvidumo problemų, o vartotojai prarado galimybes užsidirbti palūkanų arba pasiskolinti TUSD.
6.2 L2 DAI leidžia pavogti kodo vertinimo problemas
2021 m. vasario mėn. pabaigoje buvo aptikta StarkNet DAI Bridge išmaniųjų sutarčių kodo vertinimo problema, kuri galėjo leisti bet kuriam užpuolikui pagrobti lėšas iš Layer 2 arba L2 DAI sistemos. Ši problema buvo nustatyta blokų grandinės saugumo organizacijos „Certora“ audito metu.
Kodo vertinimo problema buvo susijusi su pažeidžiama sutarties deponavimo funkcija, kurią įsilaužėlis galėjo panaudoti įnešdamas DAI monetas į DAI L2 sistemą; iš tikrųjų neišsiųsdamas monetų. Tai leistų įsilaužėliui nukaldinti neribotą kiekį DAI monetų. Jie gali parduoti jį rinkai, kad uždirbtų didžiulį pelną. „StarkNet“ sistema prarado daugiau nei 200 mln. USD vertės monetų, užrakintų joje atradimo metu.
Problemą išsprendė StarkNet komanda, kuri kartu su Certora įdiegė naują sugedusios išmaniosios sutarties versiją. Tada bendrovė patikrino naująją versiją ir pripažino ją saugia.
„Avalanche“ 350 mln. USD rizikos ataskaita
Ši rizika susijusi su 2021 m. lapkritį įvykusia kibernetinė ataka, dėl kurios buvo prarasta maždaug 350 mln. USD vertės žetonų. Ši ataka buvo nukreipta į Poly Network – DeFi platformą, leidžiančią vartotojams keistis kriptovaliutomis. Užpuolikas pasinaudojo platformos išmaniojo kontrakto kodo pažeidžiamumu, leidžiančiu įsilaužėliui valdyti platformos skaitmenines pinigines.
Aptikęs ataką, „Poly Network“ paprašė įsilaužėlio grąžinti pavogtą turtą, teigdamas, kad ataka paveikė platformą ir jos vartotojus. Užpuolikas stebėtinai sutiko grąžinti pavogtą turtą. Jis taip pat tvirtino, kad ketino atskleisti pažeidžiamumą, o ne iš jų pasipelnyti. Išpuoliai pabrėžia saugumo audito ir išmaniųjų sutarčių testavimo svarbą, siekiant nustatyti pažeidžiamumą prieš jas išnaudojant.
Kaip pavogti 100 mln. USD iš nepriekaištingų išmaniųjų sutarčių?
29 m. birželio 2022 d. kilnus asmuo apsaugojo „Moonbeam“ tinklą, atskleisdamas kritinį skaitmeninio turto, kurio vertė 100 mln. „ImmuneF“ jam skyrė didžiausią šios klaidų programos sumą (1 mln. USD) ir „Moonwell“ premiją (50 tūkst.).
Moonriver ir Moonbeam yra su EVM suderinamos platformos. Tarp jų yra keletas iš anksto sudarytų išmaniųjų sutarčių. Kūrėjas neatsižvelgė į EVM „delegato skambučio“ pranašumą. Piktybinis įsilaužėlis gali perduoti iš anksto sudarytą sutartį, kad apsimestų savo skambintoju. Išmanioji sutartis negalės nustatyti tikrojo skambinančiojo. Užpuolikas turimas lėšas gali pervesti iš karto iš sutarties.
Kaip PWNING sutaupė 7K ETH ir laimėjo $6 mln
PWNING yra įsilaužimo entuziastas, neseniai prisijungęs prie kriptovaliutų žemės. Likus keliems mėnesiams iki 14 m. birželio 2022 d., jis pranešė apie kritinę Aurora variklio klaidą. Bent 7K Eth iškilo pavojus būti pavogtam, kol jis surado pažeidžiamumą ir nepadėjo „Aurora“ komandai išspręsti problemą. Jis taip pat laimėjo 6 milijonų klaidų premiją – antrą pagal dydį istorijoje.
„Phantom Functions“ ir „Milijardas dolerių“
Tai dvi sąvokos, susijusios su programinės įrangos kūrimu ir inžinerija. Fantominės funkcijos yra programinės įrangos sistemoje esantys, bet niekada nevykdomi kodo blokai. Sausio 10 d. „Dedaub“ komanda atskleidė „Multi Chain“ projekto, anksčiau „AnySwap“, pažeidžiamumą. „Multichain“ paskelbė viešą pranešimą, kuriame daugiausia dėmesio skirta poveikiui savo klientams. Po šio pranešimo sekė atakos ir „flash bot“ karas, dėl kurio buvo prarasta 0.5% lėšų.
Tik skaitymo pakartotinis paleidimas – pažeidžiamumas, dėl kurio kyla 100 mln. USD lėšų rizika
Ši ataka yra kenkėjiška sutartis, kuri galės pakartotinai pasivadinti ir nuimti lėšas iš tikslinės sutarties.
Ar tokie žetonai kaip WETH gali būti nemokūs?
WETH yra paprastas ir esminis Ethereum ekosistemos susitarimas. Jei atsiejama, tiek ETH, tiek WETH praras vertę.
Pažeidžiamumas, atskleistas Profanity
Piktnaudžiavimas yra „Ethereum“ tuštybės priemonė, skirta tuštybei spręsti. Dabar, jei naudotojo piniginės adresas buvo sugeneruotas naudojant šį įrankį, jam gali būti nesaugu jį naudoti. Profanity panaudojo atsitiktinį 32 bitų vektorių, kad sugeneruotų 256 bitų privatųjį raktą, kuris, kaip įtariama, yra nesaugus.
Ataka prieš Ethereum L2
Pranešta apie kritinę saugos problemą, kurią bet kuris užpuolikas galėjo panaudoti pinigų atkartojimui grandinėje.
Nancy J. Allen yra kriptovaliutų entuziastė ir mano, kad kriptovaliutos įkvepia žmones būti savo bankais ir nutolti nuo tradicinių pinigų keitimo sistemų. Ją taip pat domina „blockchain“ technologija ir jos veikimas.
Šaltinis: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/